L7filter集成与配置.doc

L7filter集成与配置 目 录 1、概述 1 2、L7filter功能 1 3、L7filter安装 2 4、L7filter使用 3 6、参考信息 5 1、概述 ? L7-filter (Application Layer Packet Classifier for Linux), 是 Linux netfilter 的外挂模块, 它能使 Linux 的 iptables 支持 Layer 7 (应用层) 过滤功能, 限制封杀 P2P、即时通讯软件/ 2、L7filter功能 L7filter是Linux上的一个数据包分类器，作为iptables的扩展它加强iptables在分析封包的能力，iptables在处理封包时不是简单的基于如网络应用port号，而是用正则表达式匹配Layer7应用协议（HTTP、FTP）的传输数据，这样更能准确的分析数据包。 L7filter由于要处理应用层包信息，对性能有一定影响，它主要用于那些不能基于端口来处理包信息的情况。如下 分析那些不可预知、不固定PORT的协议（如P2P） 非标准PORT的数据包（如http 8080、442） 多种协议共享一个端口（p2p用80端口） 2) 主要功能 禁止应用服务（http、MSN、QQ） 流量限制 Accouting 3) L7filter目前有两个版本 Kernel version 内核和iptables打补丁，比较稳定 Userspace version 也要重编内核，安装在内核外壳的应用程序 3、L7filter安装 L7filter安装包括编译内核(打补丁)、iptables编译（打补丁）、安装L7protocols文件 所需软件包 内核kernel /pub/linux/kernel/v2.6/linux-.tar.gz 并不是所有kernel都经测试过，下面链接列出了所内核的测试情况，这里我们选择 /kernelcompat.en.php Iptables 1.3.8 /projects/iptables/files/iptables-1.3.8.tar.bz2 Kernel 版7filter 2.17 /sourceforge/l7-filter/netfilter-layer7-v2.17.tar.gz 包里有kernel和iptables补丁 应用层协议定义(11.22) /sourceforge/l7-filter/l7-protocols-2007-11-22.tar.gz 2) 安装步骤 解压L7filter cd /root/ tar xzf netfilter-layer7-v2.17.tar.gz 里面有kernel和iptables补丁 Patch kernel cd netfilter-layer7-v2.17 cp for_older_kernels/kernel-2.6.20-2.6.21-layer7-2.16.1.patch /usr/src/linux-/ cd /usr/src/linux- patch -p1 kernel-2.6.20-2.6.21-layer7-2.16.1.patch 重编内核enable下列选项 Prompt for development and/or incomplete code/drivers (Code maturity level options下面) Network packet filtering framework (Networking → Networking Options) Netfilter Xtables support(...→Network packet filtering framework(netfilter)→Core Netfilter Configuration) Netfilter connection tracking support(同一屏幕)，选择Layer 3 Independent Connection tracking Connection tracking flow accounting(同一屏幕) Layer 7 match support(同一屏幕) FTP protocol support,“IRC protocol support” 最好把netfilter下的所有选项都选上。 Patch iptables 解压iptables1.3.8 cd /usr/local/src/ tar jxf iptables-1.3.8.tar.bz2 复制netfilter-layer的iptables?补丁cp /root/netfilter-layer7-v2.17/iptables-1.3